تم الكشف عن ثغرة أمنية خطيرة في تطبيق ProjectSend مفتوح المصدر لمشاركة الملفات، حيث تشير التقارير من VulnCheck إلى تعرض هذه الثغرة للاستغلال النشط في البيئة الحية.

الثغرة التي تم تصحيحها لأول مرة منذ أكثر من عام ونصف ضمن التحديث في مايو 2023، لم تُعلن رسميًا إلا في أغسطس 2024 مع إصدار النسخة r1720. اعتبارًا من 26 نوفمبر 2024، تم تخصيص معرف CVE-2024-11680 لهذه الثغرة، وحصلت على درجة CVSS 9.8، وهي درجة عالية من الخطورة.

Synacktiv، التي أبلغت عن الثغرة للمطورين في يناير 2023، وصفتها بأنها فحص تفويض غير صحيح يسمح للمهاجمين بتنفيذ أكواد ضارة على الخوادم المعرضة للهجوم.

وأشار تقرير نشر في يوليو 2024 إلى أنه تم اكتشاف فحص تفويض غير صحيح في إصدار r1605 من ProjectSend، ما يسمح للمهاجمين بتنفيذ إجراءات حساسة مثل تمكين التسجيل التلقائي للمستخدمين وإضافة مدخلات جديدة في القائمة البيضاء للملحقات المسموح بها للملفات المرفوعة، ما يؤدي في النهاية إلى تنفيذ أكواد PHP عشوائية على الخادم الذي يستضيف التطبيق.

أفادت VulnCheck بأنها رصدت محاولات استغلال من قبل جهات تهديد مجهولة تستهدف خوادم ProjectSend العامة باستخدام رمز الاستغلال الذي نشرته شركتا Project Discovery و Rapid7. وتعتقد الشركة أن محاولات الاستغلال بدأت في سبتمبر 2024.

وتم العثور على أن هذه الهجمات تتيح تمكين ميزة تسجيل المستخدمين للحصول على امتيازات بعد التوثيق، مما يشير إلى أن الهجمات لا تقتصر على البحث عن الخوادم الضعيفة فقط.

وقال جاكوب بينز من VulnCheck: "من المحتمل أننا في مرحلة تنصيب المهاجمين لبرمجيات خبيثة على الويب (تقنيًا، الثغرة تسمح أيضًا للمهاجم بتضمين جافا سكربت خبيث، وهو ما قد يكون سيناريو هجوم مختلف ومثير للاهتمام)."

كما أشار إلى أن "إذا كان المهاجم قد قام برفع برمجية خبيثة، فيمكن العثور عليها في مكان متوقع ضمن upload/files/ خارج الدليل الجذر للويب."

وأظهرت التحليلات الخاصة بحوالي 4,000 خادم ProjectSend معرض على الإنترنت أن 1% فقط من هذه الخوادم تستخدم النسخة التي تم تصحيحها (r1750)، بينما تستخدم البقية إصدارات قديمة، بما في ذلك النسخة r1605 التي أُصدرت في أكتوبر 2022.

نظرًا لما يبدو أنه استغلال واسع النطاق، يُوصى المستخدمون بتطبيق أحدث التصحيحات في أقرب وقت ممكن للحد من التهديد النشط.